Sauter l'index du livret et aller au contenu de la page

Vérification de suivi des contrôles des technologies de l’information des systèmes financiers de la Direction générale des finances et des services ministériels

2.0 Constatations et recomandations

Les constatations étaient fondées sur des éléments de preuve recueillis par Services de vérification Canada, sur des essais, des demandes de renseignements et des examens de la documentation effectués par Ernst & Young, ainsi que sur des demandes de renseignements et des examens de la documentation effectués par des employés de vérification interne.

Depuis la publication du rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification en mars 2009, les exigences de la politique concernant les états financiers vérifiés ont été examinées et changées, et on parle désormais d'états financiers vérifiables. De plus, le projet d'Environnement Canada portant sur l'état de préparation de la vérification des états financiers a été revu pour lui permettre de tenir compte des initiatives de responsabilisation ministérielle et de renouvellement administratif, avec l'objectif global d'améliorer la gestion financière et la responsabilisation. Des changements à l'organisation ont accompagné ces changements du renouvellement de la gestion financière.

Étant donné que l'évaluation de l'état d'avancement de la vérification a été finalisée en mars 2009, le système Merlin a migré vers une nouvelle plateforme, passant de Unix à Linux; il a été corrigé de façon significative, et sa fonctionnalité a été améliorée pour inclure la gestion du cycle de vie des biens.

Une mise à jour importante au système Merlin, y compris les améliorations apportées au contrôle de son environnement a été mise en œuvre le 1er avril 2011. À ce moment, des nouveaux contrôles d’accès au compte ont été mis en place, y compris les contrôles  de gestion du mot de passe et des améliorations en ce qui concerne les contrôles d’accès basé sur les  rôles  (« responsabilités »). De plus, les rapports nécessaires pour le fonctionnement d'un grand nombre de ces contrôles de surveillance ont également été déplacés vers une production à partir de cette date. La récente  mise en œuvre de ces caractéristiques signifiait qu'il n'y avait pas suffisamment de temps pour rendre compte des transactions relatives aux présentes afin d'évaluer l'efficacité de plusieurs mesures de contrôle qui gouvernent ces transactions.

Le plan de vérification initial consistait à déterminer la pertinence des mesures de contrôle mises en œuvre pour limiter les 25 problèmes de contrôle. Ce plan devait être fondé sur les essais ou sur l'examen des demandes de renseignements et des documents.

Quinze mesures de contrôle devaient être évaluées; pour onze de ces mesures, il n'y avait pas de preuves suffisantes pour tirer des conclusions au niveau de l'assurance.

Ce manque de preuves était en grande partie dû à la mise en œuvre récente de mesures de contrôle connexes. De plus amples travaux de vérification seront nécessaires pour évaluer ces mesures de contrôle une fois qu'assez de temps se sera écoulé pour permettre d'accumuler des preuves de transactions.

Tableau 1 – Résumé du travail de vérification principal

Référence au point de contrôle dans l'annexe 1
Mise en œuvre des contrôles ou niveau de risquel
Travail de vérification principal
2, 7, 10, 11, 14, 20, 21, 22, 24
Mesure de contrôle mise en œuvre
Examen de la documentation
19
Mesure de contrôle mise en œuvre
Examen de la documentation (remplacement des essais)
4
Mesure de contrôle mise en œuvre
Mise à l'essai de la mesure de contrôle
5, 8
Risque modéré
Examen de la documentation et entrevues
6
Risque faible
Examen de la documentation et entrevues
1, 3, 9, 12, 13, 15, 16, 17, 18 23, 25
Risque faible
Mise à l'essai non possible; examen de la documentation et entrevues


Dans ce rapport, les contrôles relatifs à l'application Merlin étaient généralement considérés comme présentant un niveau de risque inhérent plus élevé que les contrôles concernant la base de données ou le système d'exploitation. Pour justifier cette affectation des niveaux de risque, deux facteurs ont été pris en compte.

Tout d'abord, l'échec des contrôles liés au système d'exploitation et à la base de données peut avoir une grande incidence à court terme sur la disponibilité du système et de ses renseignements; cependant, à plus grande échelle, des mesures de contrôle correctives telles que les sauvegardes et la planification de la reprise des activités permettent de réduire les répercussions. Par contre, l'échec des mesures de contrôle relatives à l'application peut nuire à la confidentialité, l'intégrité et la disponibilité des renseignements dans le système, présentant ainsi un risque à long terme beaucoup plus important pour le Ministère.

Le deuxième facteur pris en compte pour déterminer les niveaux de risque était la plus faible « surface d'attaque » de la base de données et du système d'exploitation (il y a moins d'administrateurs que d'utilisateurs); en outre, les mesures de contrôles relatives à la séparation des tâches qui sont en place pour les primes financières individuelles (administrateurs de système d'exploitation par rapport aux administrateurs de base de données (BD)) atténuent davantage les risques liés aux bases de donnée et aux systèmes d'exploitation.

2.1 Améliorer la durabilité des contrôles de surveillance

Dans la mesure du possible, un contrôle devrait découler naturellement du travail contrôlé. Lorsque cela n'est pas possible, les contrôles devraient être maximisés pour appuyer le processus opérationnel. De cette façon, les travaux effectués pour mener à bien un contrôle contribuent également aux activités en cours, ce qui réduit les coûts supplémentaires imposés par le contrôle. Lorsqu'un contrôle est ajouté à un processus opérationnel avec peu d'intégration ou d'optimisation, le contrôle devient seulement une activité supplémentaire qui doit être effectuée en peu de temps et avec peu de ressources.

On a constaté qu'un certain nombre d'outils de surveillance mis au point pour traiter les faiblesses des mesures de contrôle observées dans la deuxième phase du rapport d'évaluation de l'état de préparation à la vérification n'avaient pas été optimisés pour aider les unités fonctionnelles à exécuter la surveillance. [Texte enlevé pour protéger la sécurité du système.]

Les entrevues révèlent que les secteurs des opérations et de la technologie de l’information ont concentré leurs efforts sur le respect des recommandations formulées pendant la phase 2 de l'évaluation de l'état de la préparation à la vérification. Les mesures de contrôle qui ont été mises en œuvre remédieront aux lacunes; toutefois, pour que la surveillance soit durable à long terme, il faut envisager l'automatisation de certaines activités.

L'équipe de vérification a observé que des activités de correction avaient été mises en œuvre pour combler les lacunes de surveillance au moyen des ressources existantes. Grâce à la mise à niveau régulière du système et l’ajout de nouvelles technologies plus robustes, les contrôles de surveillance des aspects financiers de la technologie de l’information bénéficieront d'améliorations supplémentaires et la nécessité d'intervenir manuellement devrait diminuer. Il s'agit d'un processus d'amélioration continue qui est encouragé et qui, au fil du temps, permettra d'optimiser les nouvelles technologies et les technologies améliorées.

Le chef de la direction financière, en collaboration avec le dirigeant principal de l'information (DPI), devrait examiner les conclusions initiales présentées dans le rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification ainsi que les mesures correctives appliquées aux contrôles, mises en œuvre dans le but de permettre l'amélioration de l'automatisation de la surveillance qui est nécessaire pour traiter les lacunes en matière de contrôle. D'après la compréhension de la valeur commerciale des mesures de surveillance recommandées, la conception des outils et des processus qui ont été élaborés devrait être examinée pour voir comment ils pourraient être modifiés afin de mieux s'intégrer au processus opérationnel et pour offrir une plus grande valeur à l'entreprise, compte tenu de la réalité actuelle du Ministère en ce qui a trait à la tolérance des risques et à la disponibilité des ressources.

Recommandation

Le chef de la direction financière devrait élaborer un plan pour la refonte des contrôles de surveillance des systèmes financiers avec une stratégie d'amélioration continue afin de les intégrer aux processus opérationnels existants, de réduire les coûts et d'améliorer la durabilité.

Réponse de la direction

D’accord. Les Services de l'entreprise intégrée mettent actuellement en place un plan de Système ministériel de gestion financière (SMGF) qui permettra d'assurer la surveillance continue du système, de répondre aux exigences de l'organisme central en ce qui a trait aux processus opérationnels normalisés et d'assurer une intégration adéquate.

2.2 Plan de travail requis pour les mesures en suspens

L'équipe de vérification a rencontré deux problèmes pour un certain nombre de mesures de contrôle évaluées. Parfois, elle n'a pas réussi à mettre en œuvre le niveau d’essai qui aurait permis de fournir un niveau d'assurance supérieur. En d’autres occasions, elle a décelé des problèmes de conception des mesures de contrôle qui pourraient, au fil du temps, représenter un risque continu pour la réalisation des objectifs du Ministère ou qui pourraient ne représenter aucun risque.

Un grand nombre des mesures de contrôle qui ont été examinées ont seulement été mises en œuvre le 1er avril 2011, presque à la fin du travail de vérification sur place. Par conséquent, trop peu de temps s'était écoulé pour permettre d'accumuler des preuves de transactions liées aux mesures de contrôle des comptes et pour pouvoir procéder à l'évaluation de l'efficacité.

Pour pouvoir produire des états financiers vérifiables, le chef de la direction financière devra reconsidérer le plan d'action de gestion fourni en réponse au rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification. Étant donné la mise en œuvre récente des mesures de contrôle en 2011, plusieurs éléments sont terminés ou bien avancés, mais des travaux supplémentaires sont nécessaires pour les traiter complètement.

Les résultats de la vérification en ce qui concerne les 25 recommandations visant à améliorer les contrôles financiers en matière de technologie de l’information sont présentés dans l'annexe 1 du présent rapport et peuvent être résumés comme suit :

  • On constate qu'onze mesures de contrôle ont été bien respectées grâce au travail entrepris jusqu'à ce jour. Cependant, ces mesures nécessitent qu'un travail supplémentaire soit effectué pour terminer la documentation et l'intégrer aux routines de travail normalisées.
  • On constate que deux des mesures de contrôle ont été atteintes mais des problèmes modérés restent à régler. Elles représentent un niveau moyen de risque résiduel pour le Ministère.
  • Douze mesures de contrôle se sont avérées en grande partie efficaces. Seulement quelques problèmes mineurs restent à régler, les mesures ne présentant qu'un faible niveau de risque pour le Ministère.

L'équipe de vérification a observé qu'il reste du travail à effectuer pour les douze mesures de contrôle à risque faible et pour les deux mesures de contrôle à risque moyen. En utilisant les résultats du travail de vérification et les résultats de ses propres essais, l'équipe de vérification devrait élaborer une mise à jour du plan de travail initial en réponse à la phase 2 de l'évaluation de l'état de la préparation à la vérification ou un nouveau plan de travail afin de résoudre les problèmes en suspens. Le reste du travail serait ainsi plus efficace, plus facile à intégrer aux routines de travail normalisées, et plus concentré sur l'achèvement des mesures au moyen d'une approche fondée sur la gestion du risque.

Recommandation

Le chef de la direction financière devrait élaborer un plan de travail pour veiller à l'achèvement des activités non terminées du plan de travail découlant du rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification.

Réponse de la direction

D’accord. Un plan de travail qui aborde tous les points en suspens de la phase 2 de l'évaluation de l'état de la préparation à la vérification de 2009 a été préparé.

2.3 Un programme de surveillance continue doit être mis en œuvre

Afin d'être efficaces, les activités de surveillance doivent être effectuées de manière uniforme et doivent être bien documentées. Plus précisément, la documentation devrait indiquer clairement pourquoi la surveillance a lieu, ce qui différencie un rendement acceptable et un rendement inacceptable, quand la surveillance a eu lieu, qui a effectué la surveillance, ce qui a été découvert et si des mesures ont été entreprises après l’activité. Enfin, nous nous attendons à ce que le rapport sur les résultats de l'activité de surveillance soit transmis à la direction pour que les gestionnaires puissent prendre des décisions concernant les améliorations à apporter aux politiques, aux procédures et aux contrôles.

Les recommandations découlant de la phase 2 de l'évaluation de l'état de la préparation à la vérification nécessitent que plusieurs mesures de contrôle soient assujetties à des examens périodiques (surveillance). L'équipe de vérification a constaté que les processus entourant cette surveillance sont consignés et gérés à titre d'activités individuelles et que les contrôles de surveillance sont conçus et exploités indépendamment sans faire référence à ce qu'ils sont censés accomplir, en particulier garantir que les contrôles financiers de la technologie de l’information sont exécutés comme prévu afin de permettre que les états financiers soient vérifiables.

Il semble qu'en raison du nombre important d'observations qui ont été relevées lors de la phase 2 de l'évaluation de l'état de la préparation à la vérification, la direction ait décidé de traiter les recommandations individuellement, plutôt que de tenter d'établir un plan pour les traiter ensemble.

Traiter les contrôles de surveillance au cas par cas signifie que les activités de surveillance peuvent ne pas être effectuées de façon uniforme selon les contrôles ou par différentes personnes. Le fait de ne pas avoir de stratégie globale de mise en œuvre de l'activité de surveillance peut également entraîner des inefficacités et peut rendre plus difficile le partage des leçons tirées d'une activité avec celles d’une autre activité.

La surveillance des contrôles financiers en matière de technologie de l’information devrait être considérée comme une activité unique qui devrait être gérée selon une fonction de coordination. L'objectif des activités de surveillance devrait être clairement défini, de même que les indicateurs de ce qui constitue les bonnes et les mauvaises pratiques. La surveillance devrait appuyer directement les processus de gouvernance de la technologie de l’information et des finances et elle devrait fournir à la direction les renseignements dont elle a besoin pour déterminer que les contrôles fonctionnent comme prévu et pour prendre des décisions au sujet des changements touchant l'environnement de contrôle qui sont raisonnables compte tenu de la propension à prendre des risques et de la disponibilité des ressources. Les registres de l'activité de surveillance devraient être tenus à jour avec les éléments de preuve nécessaires à l'activité de suivi de la vérification. Enfin, des indicateurs clés devraient être élaborés pour décrire l'efficacité de l'environnement de contrôle financier de la technologie de l’information à la direction.

Après l'achèvement du plan de travail (mis à jour ou nouveau – conformément à l'article 2.2 ci–dessus), un programme de surveillance continue devrait être mis en œuvre par la Direction générale des finances et des services ministériels pour assurer le suivi de l'efficacité et de la durabilité des contrôles de surveillance. Les résultats de cette surveillance continue contribueraient à l'assurance de la qualité et à l'amélioration continue des fonctions de surveillance, de sorte qu'elles demeureraient dans un état optimal de maturité en ce qui a trait à l'environnement de tolérance du risque.

Recommandation

Le chef de la direction financière devrait mettre au point une stratégie pour la surveillance continue des contrôles financiers des technologies de l'information, qui devrait faire partie d'une stratégie globale de surveillance des mesures de contrôle internes.

Réponse de la direction

D’accord. La stratégie relative à la surveillance continue des contrôles financiers de la technologie de l’information sera intégrée au Système ministériel de gestion financière d'Environnement Canada pour 2011–2012. En outre, Environnement Canada cherche à investir dans un logiciel privé pour faciliter la surveillance continue des contrôles financiers.

2.4 Les contrôles en matière de gestion d'identité et d'accès ne tirent pas profit des renseignements disponibles dans les systèmes de ressources humaines

Il devrait y avoir un seul système d'enregistrement pour tous les éléments d'information. Dans la mesure du possible, les systèmes devraient tirer profit des renseignements présents dans les systèmes d’enregistrement plutôt que d'essayer de tenir à jour séparément une copie de ces renseignements.

L'équipe de la vérification a constaté que bon nombre des mesures de contrôles liées à la gestion de l'identité et de l'accès, notamment les mesures de contrôle de détection (p. ex. celles qui concernent la surveillance), seraient plus efficaces si elles pouvaient tirer profit des renseignements déjà disponibles dans les systèmes de ressources humaines (p. ex. pour une période donnée, la liste des employés qui ont quitté le Ministère, la liste des employés qui ont intégré le Ministère et la liste des employés qui ont changé de rôle).

Pour ce faire et de façon efficace, les systèmes financiers devraient inclure dans leurs dossiers d'utilisateur un identificateur unique partagé avec le système de ressources humaines.

Dans le passé, les concepteurs ont souvent ignoré la disponibilité des données dans les systèmes de ressources humaines en raison des difficultés de traitement des questions de confidentialité.

L'absence d'accès à ces renseignements préexistants signifie qu’il n’y a aucune source indépendante de données permettant de valider les activités passées de gestion de compte. Cela est particulièrement vrai pour les contrôles de détection tels que ceux utilisés pour surveiller les activités de gestion des comptes après coup.

En outre, cela signifie que les données sont stockées de façon redondante et doivent être mises à jour deux fois, ce qui met leur intégrité en péril. Le fait de ne pas avoir accès à une source unique de renseignements de bonne qualité implique que la conception des mesures de contrôle de surveillance sera moins efficace, car elle nécessite que les agents de surveillance examinent quelle activité axée sur le compte s'est déroulée, puis qu'ils trouvent les documents de support indiquant qui a autorisé l'activité. Si les données des ressources humaines étaient disponibles, ils seraient indépendants, améliorant ainsi la séparation des tâches et cela permettrait d'automatiser davantage les activités relatives au compte.

Les contrôles financiers de la technologie de l’information liés à la gestion de l'identité et de l'accès devraient tirer profit des renseignements déjà disponibles dans différents systèmes de ressources humaines. L'activation de cette activité peut nécessiter que le Ministère alloue des ressources à court terme et que la sous–ministre adjointe des Ressources humaines, le dirigeant principal de l'information et le chef de la direction financière participent.

Plus précisément, la conception des contrôles de détection semblables à ceux utilisés lors de la surveillance des activités de gestion de compte doit être optimisée pour utiliser les renseignements des ressources humaines (p. ex. les employés qui ont quitté le Ministère dans une période donnée ou les employés qui ont intégré les rangs du Ministère et les employés qui ont changé de rôle et de position).

En outre, les tableaux de gestion des comptes dans les systèmes financiers devraient être modifiés pour inclure un identificateur unique pour les titulaires de comptes à partager avec les systèmes de ressources humaines et de gestion des entrepreneurs.

Recommandation

Le chef de la direction financière et la sous–ministre adjointe des ressources humaines devraient établir un plan stratégique pour mettre à profit l'identificateur de l'utilisateur existant aux fins d'utilisation dans les systèmes financiers.

Réponse de la direction

D’accord. L'accès aux interfaces clés du Ministère sera mis au point pour améliorer les contrôles relatifs à l'identification des utilisateurs dans le système.

Date de modification :